Administration
(Les stratégies de groupe)

 

Les stratégies
de groupe

 

RETOUR

Les stratégie de groupe

Une stratégie de groupe ou stratégie de sécurité est un ensemble d'éléments de configuration de Windows 2000 s'appliquant à un ordinateur, un utilisateur ou un groupe d'utilisateurs permettant d'autoriser ou d'interdire certaines actions. Les stratégies sont organisées avec une gestion de priorité entre stratégies et la possibilité de ne pas définir tel ou tel élément dans une stratégie pour que cet élément soit pris en compte dans une stratégie moins prioritaire.

Il existe par défaut une stratégie de sécurité locale sur chaque ordinateur Windows 2000 non contrôleur de domaine. Une stratégie de sécurité de contrôleur de domaine est aussi définie par défaut concernant l'ensemble des contrôleurs du domaine. Enfin, une stratégie de sécurité de domaine est définie par défaut à l'échelle du domaine concernant toutes les machines. Ces trois stratégies sont, dans cette ordre, de la moins prioritaire à la plus prioritaire.

Un administrateur pourra créer des stratégies de sécurité à destination d'ordinateurs, d'utilisateurs ou de groupes d'utilisateurs et les interclasser par ordre de priorité avec les stratégies par défaut.

Toutes les modifications réalisées sont automatiquement déployées sur le domaine en temps réel.

Stratégie de sécurité locale

Utilisée pour configurer les paramètres de sécurité pour l'ordinateur local. Ces paramètres comprennent la stratégie de mot de passe, la stratégie de verrouillage du compte, la stratégie d'audit, la stratégie de sécurité du protocole IP, les attributions des droits utilisateur, les agents de récupération pour les données cryptées et d'autres options de sécurité. La stratégie de sécurité locale est disponible uniquement sur les ordinateurs Windows 2000 qui ne sont pas contrôleurs de domaine. Si l'ordinateur est membre d'un domaine, ces paramètres peuvent être remplacés par les stratégies reçues du domaine.

Les paramètres locaux sont indiqués dans la deuxième colonne, les paramètres hérités du domaine (qui s'appliquent car prioritaires) sont indiqués dans la troisième colonne.

Stratégie de mot de passe
Définition des paramètres de validité
des comptes d'utilisateur:
gestion d'un historique des mots de passe
pour empêcher l'introduction du même
mot de passe à chaque changement,
durée maximale d'un mot de passe
avant changement obligatoire,
durée minimale du mot de passe,
complexité du mot de passe,
longueur minimale des mots de passe,
cryptage

Durée maximale d'un mot de passe

Complexité des mot de passe

StrategieLongueurMotDePasse.gif (6418 octets)

Longueur minimale du mot de passe

Stratégie de verrouillage
verrouillage des comptes en cas de tentatives
de connexion infructueuses trop nombreuses

Stratégie Kerberos

Stratégie d'audit
Lancement de l'audit sur certains événements:
la gestion des utilisateurs et des groupes,
l'ouverture et la fermeture de session,
l'accès aux fichiers et objets,
l'ouverture et la fermeture de session,
l'utilisation de ses droits par un utilisateur,
les arrêt et démarrage du système,
l'utilisation de ses droits par un utilisateur,
...

Droits des utilisateurs
A l'installation du système,
droits par défaut attribués aux groupes d'utilisateurs
prédéfinis, leurs autorisant tel ou tel privilège.
Extension ou restriction possible de ces droits

StrategieOuvertureSessionLocale.gif (7451 octets)

Utilisateurs autorisés à ouvrir une session

Arrêt du système

Options de sécurité

Accès aux stratégies du domaine

Outre les accès proposés dans les outils d'administration, la MMC peut être utilisée et paramétrée pour créer d'autres points d'accès.

Dans l'outil MMC demander l'ajout
d'un composant logiciel enfichable.
Choisir un composant de type stratégie de groupe

Aucun composant présent. Demander ajouter

Demander Parcourir

Ajouter les deux stratégies par défaut du domaine

Pas de stratégie site

Ajouter la stratégie locale

Ajouter la stratégie locale
de l'autre machine du domaine

Résultat des sélections

Résultat dans la MMC

Création et affectation d'une stratégie de sécurité à l'échelle d'un domaine

Accès aux propriétés de l'entrée
portant le nom d'un domaine

Etat initial

Etat après création de la stratégie "Test Policy".
Stratégie la moins prioritaire

StrategieNouvelleOrdonnee.gif (12740 octets)

Nouvel ordre des stratégies de groupe

Options de cette stratégie

Menu contextuel associé à une stratégie

Propriétés générales d'une stratégie

Liaisons sur cette stratégie entre sites,
domaines et unité organisationnelles

Sécurité de cette stratégie (valeurs initiales)

Pour qu'une stratégie s'applique à un utilisateur,
un groupe d'utilisateurs ou un ordinateur,
les sécurités doivent être placées en "Lire"
et en "Appliquer la stratégie de groupe".

StrategieNouvelleDansMMC.gif (13552 octets)

Ouverture de la stratégie dans la MMC
via un double-clic

Quelques manipulations utiles

  • Création d'une stratégie de groupe pour l'administrateur du domaine et lui autorisant tout
  • Autorisation d'ouverture de session de travail attribuée à tous les utilisateurs sur les machines Windows 2000 Server
  • Limitation de la taille du profil des utilisateurs
  • Limitation de l'accès à l'onglet paramètres du panneau de configuration Affichage
  • Paramétrage de la stratégie de gestion des mots de passe

Suite